NHS COVID19アプリ / WIRED
WIREDが閲覧したNHSの内部文書によると、NHSの新型コロナウイルス接触追跡アプリはまもなく人々のコロナウイルスの健康「状態」を表示し、正確な位置情報の共有を求める可能性があるという。
「製品方針:リリース1」と題され、「公式 - 機密」と記された文書には、アプリの今後の開発ロードマップを示す一連のスライドが含まれています。また、これらの文書からは、NHS(国民保健サービス)と保健社会福祉省の職員が、このアプリが未検証の診断情報に依存していることが悪用されやすく、「国民パニック」を引き起こし、医療サービスにさらなる負担をかけるのではないかと懸念していることも明らかになっています。
Googleドライブに保存されているこれらの文書は、リンクを知っている人なら誰でも閲覧できる状態に誤って公開されていました。これらの文書へのリンクは、NHSが公開した接触追跡アプリのプライバシー保護に関する他の文書にも含まれていました。文書にリンクされている他の文書は、承認なしではアクセスできませんでした。
未完成と思われるスライドには、次期アプリに含まれる可能性のある機能の詳細が記載されている。「郵便番号、人口統計情報、共同拠点の状況といった利用者からの自己申告データを収集し、NHSのより効果的なリソースプランニングを可能にする」と文書には記されている。これはNHSの統計データで既に示唆されているものの、確認されていない。文書の日付は3月25日だが、職員が閲覧したのは5月12日だった。
スライドには、このアプリによって「NHSと戦略リーダーが新たなガイダンスに対応して「接触イベント」や「通知パターン」を追加し、「患者の流れを制御」できるようになる可能性がある」とも記されている。また、この文書には、アプリの成功基準と、アプリをダウンロードする人の割合に関する政府の想定も示されている。
また、あるスライドの下部に添付された注記には、アプリの将来のバージョンで「COVID-19ステータス」機能が導入される可能性があることが記されています。この機能には、隔離、自主隔離、ソーシャルディスタンス、シールド、なしの5つの選択肢が示されており、ユーザーはステータスを更新する必要があると付け加えられています。このようなシステムは、アプリがユーザーに健康コードを割り当てる中国のロックダウン解除後の措置を彷彿とさせます。中国では、健康コードによって、自宅の外に出たり、中国国内を広く移動したりできるなど、人々に異なる自由が与えられています。
「NHSは、何が対象範囲で何が対象外なのかを明確にし、透明性を確保する必要があります」と、オープン・ライツ・グループのエグゼクティブ・ディレクター、ジム・キロック氏は語る。「明確さがなければ、誤解が生じる可能性は飛躍的に高まります。」
書類に添付されたメモには、将来的に個人の「かかりつけ医」と「郵便番号」の詳細を尋ねられる可能性があることも記されています。アプリは現在、プライバシー保護のため、郵便番号の最初の部分のみを収集しています。こうした機能の導入時期は明らかにされておらず、導入されない可能性もあります。
文書には、開発者がアプリ内で「臨床結果を検証するための軽量な新プロセス」を開発している可能性も示されています。現在、このアプリはコロナウイルス検査の結果を保存できず、代わりに自己申告による症状に依存しています。このようなアプリを開発しているほとんどの国では、自己申告ではなく、確認済みの検査結果に基づいて通知を送信しています。
文書の注記には、検査結果をチェックできるシステムを構築することで、アプリの信頼性を高め、「市場」における差別化を図ることができると記されている。しかし、文書には大臣の承認が必要であり、英国の分権国家におけるNHSの指導者からの「賛同」も必要となると記されている。
ある文書の注釈には、アプリの「成功の測定」に関する新たな情報が含まれています。アプリの倫理委員会のメンバーは最近、ワイト島での試験の目的について質問しています。文書は具体的な成功の測定基準を概説するまでには至りませんが、「検査結果を入力またはデータを提供する」ユーザーの割合、他者との接近に関する通知の数、これらの通知に反応する人の割合、症状や診断が出る前にアプリをインストールする人の割合、そして「接近イベントデータ」の提供を決定したアプリユーザーの割合の重要性を強調しています。
Googleドライブにホストされていたこれらの文書は、アプリのデータプライバシー影響評価とともに公開された他の文書を通じてアクセス可能でした。リンクされている文書の大部分は非公開で、閲覧権限を持つアカウントでログインする必要があります。しかし、少数の文書は、リンクにアクセスできる人なら誰でも匿名で閲覧可能でした。
保健社会福祉省とNHS(国民保健サービス)に文書の漏洩について警告したところ、文書は非公開に設定され、誰も閲覧できなくなりました。本稿執筆時点で、保健省はコメント要請に回答していません。その後のコメントで、NHSXの広報担当者は、アプリの今後のバージョンで変更が行われる場合は「ユーザーに十分に説明し、利用は完全に任意のままとなる」と述べました。また、このアプリはユーザーのプライバシーを保護するように設計されており、パンデミック管理に役立つ「重要なツール」となる可能性があると述べました。
アプリ開発に携わるNHS関係者は、新機能の追加に前向きな姿勢を一貫して示してきた。アプリを開発しているNHSXの最高経営責任者(CEO)であるマシュー・グールド氏は、議員らに対し、アプリは時間とともに「進化」していくと述べた。「リリース時点では完璧なものではなく、ウイルスへの理解が深まるにつれてアプリも進化していくということを、国民の皆様に正直にお伝えする必要があります。機能を追加し、動作方法も開発していく予定です」とグールド氏は述べた。
3月25日にNHS職員と国立サイバーセキュリティセンター(NCSC)の職員が行ったチャットの要約である別の文書には、最大60%の人がこのアプリに対応した携帯電話を所有し、その後ダウンロードすると想定されていたと記されている。文書のヘッダーには、この文書はアーカイブ済みと記載されていた。
オックスフォード大学の研究者によるモデル化によると、このアプリが最大限の効果を発揮するには、56%の人々による使用が必要だという。しかし、接触追跡アプリは新しいツールであり、手動による接触追跡やソーシャルディスタンスなどの他の公衆衛生対策と併用されているため、成功するという証拠はほとんどない。
文書に記載されている推計によると、アプリのダウンロード数が980万人に達していると仮定すると、潜在的な登録者数は1秒あたり8,000人に達するとされています。ただし、この数字は変動する可能性があります。スタッフは、3月23日にロックダウンが発表された際にボリス・ジョンソン首相がテレビで行った声明の影響について議論しています。文書には、彼らの推計は「最近の首相の演説の視聴率に基づくと、2倍になる必要がある」と記されています。チャットに関わった人々は、1秒あたり16,000人の登録を想定しておく必要があると述べました。
この文書では、接触通知が一斉に送信されるリスクについても詳述されている。懸念事項の一つは、例えば病院で多数の人と接していたNHS職員が問題を引き起こす可能性があることだ。「最悪の通知シナリオ」と文書には記されている。「何百人もの患者を診ているNHSのキーワーカーが病気と診断され、携帯電話を共有する」。そうなると、「何百人」もの人々が一斉に隔離される必要に迫られる可能性がある。
しかし、プレゼンテーション資料によると、当局は症状の自己申告を決定する前に2つの選択肢を検討していたことが明らかになっています。既存のシステムに統合するシステムの構築は、英国における「診断結果」の単一の情報源がなく、既存のデータが他のデータと統合するのが難しい方法で保存されているため、除外されました。
2つ目の選択肢では、すべての診断結果を一箇所に保存する必要がありました。当局は、これはプライバシー重視のアプローチと両立し、「データの正確性とアプリへの信頼性」を高めると考えていましたが、政策変更が必要となり、検査の実施速度が遅くなる可能性がありました。
アプリの「科学委員会」は3月25日に自己申告制の導入を最終的に承認した。この文書では、この方式の2つの利点(疫学データの収集と検査キットの自宅への送付)を挙げている一方で、3つのリスクも指摘している。これらのリスクには、「偶発的または悪意のあるデータポイズニングのリスクが高いこと」、「アプリへの信頼の欠如により利用者が継続利用しなくなる可能性」、「未検証の診断結果が国民のパニックと医療サービスの不備につながること」などが含まれる。自己申告についてより詳細に説明した2枚目のスライドでは、NHS(国民保健サービス)が「悪意」を持ってアプリが使用される可能性を減らすよう努めていると述べられている。症状がないのに症状があると申告する人が多すぎる場合、「国民のパニック」につながる可能性があると警告している。
プレゼンテーションでは、アプリの最初のイテレーションにおける制限についても説明されている。「MVP(最小限の実行可能な製品)の範囲外となるものは何か?」と題されたあるスライドでは、当局は今後数か月で追加される可能性のある要素について検討している。これらの機能には、緯度と経度による位置データの記録や、「継続的な地理位置情報イベントの取得」などが含まれる。また、書類では、当局が取得した近接データを確認したり、個人が他の人に何回近づいたかを示したり、アプリを使用している人から「追加データ」を収集したりすることは不可能であると述べられている。書類によると、この追加データには、郵便番号、共存状況、その他の人口統計学的詳細が含まれる可能性がある。書類ではまた、NHSが、他の人に近づきすぎて携帯電話が近接イベントを記録するたびに、携帯電話を「振動」させることは不可能であるとも説明されている。
「アプリの今後のバージョンでも位置情報データの記録と共有が依然として機能していることは懸念すべき点です。これは非常に侵害的であり、データが容易に再識別可能になるため、アプリが本来提供しているプライバシーを損なう可能性があります」とキロック氏は述べている。「ニュースのない日に情報が漏れ出たり、誤って公開されたり、手遅れになってから提供されたりする状況は、率直に言って、アプリとそれを取り巻くデータ収集慣行への信頼を損なっています。」
プレゼンテーション資料全体を通して、人々がデータを提供するという言及があります。このアプリを開発しているNHS関係者は、将来のバージョンでは、人々がオプトインすれば、より詳細な情報が含まれる可能性があることを既に示唆しています。NHSXのグールド氏は議員に対し、「匿名の近接接触だけでなく、それらの接触が行われた場所も提供していただければ、疫学的に非常に有益です」と述べました。「そうすれば、特定の場所やセクターが、後に問題となる近接接触の発生源であったことを把握できるようになります。」
2020 年 5 月 13 日 15:36 GMT に更新: NHSX からの声明が追加され、1 つの文書の公開日が記載されました。
マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。
WIREDによるコロナウイルス報道
🏘️ 介護施設の破綻こそが真のコロナウイルススキャンダル
🔒 英国の新たなロックダウン規制について解説
❓ 英国の雇用維持のための一時帰休制度について解説
💲 ユニバーサルベーシックインカムはコロナウイルス対策に役立つでしょうか?
👉 Twitter、Instagram、Facebook、LinkedInでWIREDをフォローしてください
この記事はWIRED UKで最初に公開されました。
